Antwort und Beispiele: Ihr Unternehmen/Ihre Organisation darf nur unter folgenden Umständen personenbezogene Daten verarbeiten:
- mit Einwilligung der betroffenen Personen;
- bei Bestehen einer vertraglichen Verpflichtung (ein Vertrag zwischen Ihrem Unternehmen/Ihrer Organisation und einem Kunden);
- zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht);
- wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich ist;
- zum Schutz lebenswichtiger Interessen einer Person;
- aus berechtigten Interessen Ihrer Organisation, aber nur, nachdem sichergestellt wurde, dass die Grundrechte und Grundfreiheiten der betroffenen Person bei der Datenverarbeitung nicht ernsthaft beeinträchtigt werden. Wenn die Rechte der Person die Interessen Ihrer Organisation überwiegen, scheidet das berechtigte Interesse Ihrer Organisation als Grundlage für die Datenverarbeitung aus. Die Bewertung, ob das berechtigte Interesse Ihres Unternehmens/Ihrer Organisation an der Verarbeitung die Interessen der betroffenen Personen überwiegt, hängt von den Umständen des Einzelfalls ab.
Beispiele:
Einwilligung
Ihr Unternehmen/Ihre Organisation bietet eine Musik-App an und verlangt nach der Einwilligung der Nutzer zur Verarbeitung ihrer musikalischen Vorlieben, um passende Musiktitel und mögliche Konzerte zu empfehlen.
Vertragliche Verpflichtung
Ihr Unternehmen/Ihre Organisation verkauft Waren online. Es/sie darf Daten verarbeiten, die erforderlich sind, um vor Abschluss des Vertrags und zur Vertragsabwicklung auf Verlangen des einzelnen Kunden die erforderlichen Massnahmen zu ergreifen. Sie können also den Namen des Kunden, die Lieferadresse, die Kreditkartennummer (bei Kartenzahlung) usw. verarbeiten.
Rechtliche Verpflichtung
Sie führen ein Unternehmen mit Mitarbeitern. Sie sind im Rahmen der Sozialversicherung gesetzlich dazu verpflichtet, der zuständigen Behörde personenbezogene Daten (zum Beispiel wöchentliches Einkommen Ihrer Mitarbeiter) zur Verfügung zu stellen.
Öffentliches Interesse
Beispiel: Eine Berufsvereinigung, wie zum Beispiel eine Anwalts- oder Ärztekammer, der die entsprechende öffentliche Gewalt übertragen wurde, kann Disziplinarverfahren gegen ihre Mitglieder durchführen.
Lebenswichtiges Interesse einer Person
Ein Krankenhaus behandelt einen Patienten nach einem verheerenden Verkehrsunfall. Das Krankenhaus benötigt nicht die Einwilligung dieser Person, um nach ihrem Ausweis zu suchen, um zu überprüfen, ob in der Datenbank des Krankenhauses die medizinische Vorgeschichte zu finden ist, oder um ihre Angehörigen zu kontaktieren.
Die berechtigten Interessen Ihrer Organisation
Ihr Unternehmen/Ihre Organisation stellt die Netzwerksicherheit sicher, indem Sie die Nutzung der IT-Geräte Ihrer Mitarbeiter überwachen. Ihr Unternehmen/Ihre Organisation darf personenbezogene Daten zu diesem Zweck nur dann verarbeiten, wenn Sie die schonendste Methode hinsichtlich der Privatsphäre und Datenschutzrechte Ihrer Mitarbeiter anwenden, zum Beispiel indem Sie den Zugriff auf bestimmte Websites einschränken. (Beachten Sie, dass dies in EU-Mitgliedstaaten, in denen das nationale Recht strengere Vorschriften für die Verarbeitung im Arbeitsumfeld vorsieht, nicht möglich ist).
Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-can-personal-data-be-processed_de